安天實(shí)驗(yàn)室安全研究與應(yīng)急處理中心(以下簡稱：安天CERT)于9月25日凌晨開始響應(yīng)“破殼”漏洞，針對該漏洞的背景、原理等進(jìn)行了快速地分析，摸索完善了驗(yàn)證方法和網(wǎng)絡(luò)檢測方法。并于9月25日10時發(fā)布了《“破殼”漏洞(CVE-2014-6271)綜合分析》(對應(yīng)網(wǎng)址：http://www.antiy.com/response/CVE-2014-6271.html)，并更新了多個版本。在這個過程中安天監(jiān)測采集和樣本交換體系發(fā)現(xiàn)了大量利用該漏洞的掃描攻擊、后門投放等行為，并發(fā)現(xiàn)了多個與此漏洞相關(guān)的惡意代碼。

詳細(xì)報告請點(diǎn)擊：http://down.51cto.com/data/1887265

基于漏洞的特點(diǎn)，安天利用與高校聯(lián)合部署的“探云“體系等進(jìn)行了流量監(jiān)測。

安天實(shí)驗(yàn)室在《“破殼”漏洞(CVE-2014-6271)綜合分析》(《破殼》三部曲之一)報告中指出“破殼”漏洞“易于利用其編寫蠕蟲進(jìn)行自動化傳播，同時也將導(dǎo)致僵尸網(wǎng)絡(luò)的發(fā)展”。幾年來，盡管我們捕獲的蠕蟲樣本數(shù)量還在持續(xù)增長，但其中真正有重大影響力的蠕蟲確實(shí)并不多見。但今天，我們看到了“蠕蟲”這個熟悉而陌生的老對手，借助“破殼”漏洞借尸還魂。如果說技術(shù)的發(fā)展是一個上升的螺旋，在某一時刻會表現(xiàn)出“高階重復(fù)”的話，那么威脅的演進(jìn)何嘗不是如此呢?

反病毒工作者和反病毒產(chǎn)品為消亡蠕蟲進(jìn)行了很多嘗試，但蠕蟲大面積減少的更大原因還是其生態(tài)的變化。Windows系統(tǒng)控制Outlook的外部調(diào)用，沉重打擊了郵件蠕蟲的傳播;DEP、ASLR、UAC等機(jī)制的引入，大大降低了掃描溢出型蠕蟲傳播的效果;對自動播放的控制，又降低了U盤傳播。而從另一個角度看，隨著漏洞私密化、攻擊定向化的趨勢，有編寫蠕蟲價值的漏洞，都被攻擊者深藏武庫，謹(jǐn)慎使用。而同時，一些僵尸網(wǎng)絡(luò)的控制者，也逐漸把利用蠕蟲的方式擴(kuò)展規(guī)模，改為捆綁和FAKEAV等其他方式。

《走出蠕蟲地帶》是安天技術(shù)負(fù)責(zé)人在去年XDEF峰會上的同名報告，也是安天AVER反思三部曲的第二部。報告反思了我們現(xiàn)有的大量從感知到分析的技術(shù)體系，都是在蠕蟲時代發(fā)端建立起來的，其假定威脅的核心特點(diǎn)是攻擊載荷不斷重復(fù)投放、傳播路徑是從若干源頭的樹狀展開、被感染的節(jié)點(diǎn)會大量分布。顯然這種機(jī)制在APT的應(yīng)對中變得薄弱和力不從心。而同時我們也看到更多用戶也是在大規(guī)模蠕蟲泛濫時，逐漸建立起安全觀念的，往往只有網(wǎng)絡(luò)大量阻塞時，人們才感到網(wǎng)絡(luò)威脅的價值。而此間，那些更高級、隱蔽可以帶來戰(zhàn)略影響的攻擊與竊密則可能被忽略了。

這次也是如此，連我們自己都是在相關(guān)BOT和蠕蟲出現(xiàn)后，興奮度異常提高。但我們要慎重看待這種“高階重復(fù)”。如果說一切安全威脅都存在著必然性，有其規(guī)律和動力的話。我們只能說，當(dāng)漏洞掌握在少數(shù)攻擊者手中時，可能其表象會是發(fā)生在定向攻擊乃至APT攻擊當(dāng)中，以提高成功率和降低感知。但當(dāng)嚴(yán)重漏洞一旦公開，其不再具有任何隱蔽性可言，而大量用戶啟動修補(bǔ)流程，可攻擊節(jié)點(diǎn)不斷減少的時候。就會有更多的攻擊者開始了利益最大化的數(shù)據(jù)或者節(jié)點(diǎn)的攫取，此時“列王的紛爭”就會變成“群鴉的盛宴”。

同時，站在一個更熟悉Windows的安全團(tuán)隊視角看Linux/MacOS，無疑會有很多茫然，重新編譯帶來諸多的不變，大量版本帶來的碎片化，又給修補(bǔ)帶來了很多不確定性。而自帶的編譯器和豐富的腳本則既是程序員的舞臺，也是攻擊者的土壤。我們在Windows攻防中，也經(jīng)常可見BAT和VBS腳本，但通常都是配角而非惡意代碼功能主體。而除非目標(biāo)是代碼污染，把一段C++源碼或者工程丟到被攻擊者的場景中去編譯的行為更非常罕見。而本報告中的gcc源碼和perl腳本，則價值完全不同，而這種模式在過去和未來也都并不陌生。這個方式既符合場景特點(diǎn)，同時也是一個輕量級的“免殺”。而未來Linux/MacOS將是重要的攻防戰(zhàn)場，盡管相關(guān)惡意代碼的加殼、混淆工具和Windows下大量的地下殼、商用殼相比還那樣簡單幼稚，但一切早已經(jīng)開始了。

詳細(xì)報告請點(diǎn)擊：http://down.51cto.com/data/1887265